TECHNISCHE UNIVERSITÄT MÜNCHEN FAKULTÄT FÜR INFORMATIK

Größe: px
Ab Seite anzeigen:

Download "TECHNISCHE UNIVERSITÄT MÜNCHEN FAKULTÄT FÜR INFORMATIK"

Transkript

1 TECHNISCHE UNIVERSITÄT MÜNCHEN FAKULTÄT FÜR INFORMATIK Diplomarbeit Aufbau, Betrieb und Analyse eines Honeynet Gereon Volker Aufgabensteller: Prof. Dr. Heinz-Gerd Hegering Betreuer: Dr. Helmut Reiser Andreas Völkl Abgabedatum: 15. November 2003

2 Ich versichere, dass ich diese Diplomarbeit selbständig verfasst und nur die angegebenen Quellen und Hilfsmittel verwendet habe Datum Unterschrift ii

3 Kurzfassung Der Zweck eines Honeynet ist, das Verhalten sowie die Methoden von Angreifern zu erforschen. Ein Honeynet bildet dazu eine gewöhnliche Produktionsumgebung nach, allerdings werden die Rechner eines Honeynet nicht produktiv eingesetzt. Die Rechner sollen den potentiellen Angreifern eine Spielwiese bieten, ohne dass der Angreifer dies erkennen kann bzw. sollte. In dem Honeynet werden die einzelnen Rechensysteme mit unterschiedlichen Betriebssystemen installiert und betrieben. Wenn im Honeynet Netzwerkverkehr auftritt, so kann man davon ausgehen, dass ein Angriff bzw. ein Angriffsversuch erfolgt, da ja in diesem Netz nicht produktiv gearbeitet wird und somit auch kein Netzwerkverkehr stattfinden sollte. Um Angriffe vom Honeynet auf andere Rechner im Internet zu verhindern muss es (nach außen) stark gesichert werden. Eine kontinuierliche Überwachung während des Betriebes ist bei einem Honeynet unerlässlich. Nach der Betriebsphase müssen die gesammelten Daten genau analysiert und ausgewertet werden. Anhand dieser Daten kann z.b. das Gefährdungspotential abgeschätzt und dadurch geeignete Gegenmaßnahmen ergriffen werden. iii

4 Inhaltsverzeichnis Abbildungsverzeichnis... vii Diagrammverzeichnis... viii Tabellenverzeichnis... ix 1 Einleitung Aufgabenstellung Aufbau der Diplomarbeit Typographische Konventionen Grundlagen Honeypot Klassifikation von Honeypots Positionierung eines Honeypots Honeynet Anforderungen Motivation Konzeption des Honeynets Entwicklung von Honeynets Design der Architektur Topologie Sicherheitskonzepte (Data Control) Überwachungskonzepte (Data Capture) Überwachung auf Netzwerkebene Überwachung auf Kommando-Ebene (Shell-Ebene) Sicherung der System Log-Dateien Integritätschecker Angebotene Dienste und zur Verfügung gestellte Daten Anforderungen an die Software Betriebssysteme Zusatzsoftware Benachrichtigungsmechanismen Benachrichtigung über Benachrichtigung über Short Message Service (SMS) Absicherung des Gateway- und Analyse-Rechners Aufbau und Betrieb Aufbau des Honeynets Verwendete Hardware Installation...32 iv

5 4.3.1 Installation des Gateways (gway.lrz-muenchen.de) Installation des Linux-Honeypots (internal.lrz-muenchen.de) Installation des Windows -Honeypots (tivoli.lrz-muenchen.de) Installation des Log-Rechners (logging.lrz-muenchen.de) Sichern der Konfigurationen Konfigurationsänderungen während des Betriebes Update und Ergänzung der snort-regeln Änderungen der Firewall-Regeln Vorbereitung für Auswertungen Analyse des Honeynets Vorgehensweise Online-Analyse Offline-Analyse Nützliche Informationsquellen für die Analyse Verwendete Analyse-Werkzeuge Iptables log Funktionsweise Installation Vorgenommene Veränderungen Fazit Snort in Verbindung mit ACID Installation Fazit Sicherheitsaspekte bei webbasierten Analyse- und Auswertungswerkzeugen Ethereal und Packetyzer Installation Fazit P0f Installation Fazit traceroute und VisualRoute Installation Fazit Zusammenfassung Entwicklung von zusätzlichen Werkzeugen Ergebnisse Klassifikation der Angreifer Hacker Cracker Script Kiddie Gruppenmitglieder Professionelle Hacker Vermutete Angreifer im Honeynet Bedrohungen und durchgeführte Angriffe Angriffe auf Web-Server CodeRed2 (nach [cert 01]) FX Scanner BufferOverflows v

6 Trojaner Mysterium (vgl. [hei 03b]) Viren und Würmer W32.Slammer (SQLSlammer) W32/Deloder-A W32.Blaster (LovSan) W32.HLLW.Gaobot.AA Sonstige Beobachtungen Erfolgreiche Kompromittierungen Statistiken Allgemeines Häufigkeits-Statistiken Mysterium Vergleich der Aktivitäten zwischen Windows und Linux Zusammenfassung der Analyse Zusammenfassung und Ausblick Glossar Literaturverzeichnis A Anhang A.1 Skripte für Honeynet-Rechner A.1.1 Gateway A Firewall-Skript A Regeln für snort A Skript für tcpdump A Konfiguration von swatch A Skripte für den SMS-Versand A.1.2 Linux-Honeypot A fake-syslog-daemon A Perl-Skripte für den Webauftritt A Tripwire-Policy A.2 FX Scanner-Anfragen A.3 Passwörter des Deloder-Wurms A.4 Benutzer und Passwörter des Gaobot-Wurms A.5 PHP-Skripte für die Auswertung A.5.3 Bestimmung der Mysterium-Pakete pro Tag A.5.4 Bestimmung der Anzahl der Verbindungen pro Stunde A.5.5 Bestimmung der Top Hosts vi

7 Abbildungsverzeichnis Abbildung 1: Unterschiedliche Einsatzszenarien eines Honeypots (vgl. [Spi 02])...8 Abbildung 2: Honeynet als Aquarium...11 Abbildung 3: Aufbau eines typischen Gen I Honeynet...13 Abbildung 4: schematischer Aufbau eines Gen II Honeynets...14 Abbildung 5: Honeynet mit Gateway und zwei Honeypots...17 Abbildung 6: Honeynet mit zusätzlichem Analyse-Server...18 Abbildung 7: Arbeitsweise von snort_inline...19 Abbildung 8: Funktionsweise von Sebek, sebeksniff und sbdump (vgl. [Bal 03])...22 Abbildung 9: Konzeptuelle Darstellung der Umleitung des read-aufrufes [Bal 03]...23 Abbildung 10: Konzeptuelle Darstellung des Generierens und Versendens von Sebek UDP- Paketen [Bal 03]...23 Abbildung 11: Aufgebautes Honeynet...31 Abbildung 12: Konfigurierter Gateway-Rechner mit unterschiedlichen Abhördiensten...38 Abbildung 13: Konfigurations-Dialog von TightVNC...42 Abbildung 14: Globale Sicht mit allen beteiligten Systemen...43 Abbildung 15: iptables log...50 Abbildung 16: Startseite von ACID während des Betriebes...53 Abbildung 17: Einsatz eines SSH-Tunnels zur Online-Analyse mit Hilfe von webbasierten Werkzeugen (sehr vereinfachte Darstellung)...57 Abbildung 18: Benutzeroberfläche von ethereal...58 Abbildung 19: Benutzeroberfläche von Packetyzer...59 Abbildung 20: Beispiel-Ausgabe von p0f...61 Abbildung 21: Benutzeroberfläche von VisualRoute 7.3b unter Windows...63 Abbildung 22: Benutzeroberfläche von FX Scanner...71 Abbildung 23: Angriff des Blaster-Wurms am 11. August um 22:51 Uhr (Analyse mit Packetyzer)...81 Abbildung 24: Popup-Nachricht auf dem Windows -Honeypot...84 Abbildung 25: Honeynet mit Management-Netz (Erweiterungsmöglichkeit) vii

8 Diagrammverzeichnis Diagramm 1: registrierte Vorfälle bei CERT [cert 03b]...1 Diagramm 2: registrierte Schwachstellen bei CERT [cert 03b]...2 Diagramm 3: Anzahl der W32.HLLW.Gaobot.AA-Angriffe (pro Tag)...82 Diagramm 4: Anzahl der Alarme in ACID pro Tag...87 Diagramm 5: Dateigrößen der mitprotokollierten tcpdump-dateien in MByte...88 Diagramm 6: Ports zu denen mehr als 100 Verbindungen während des Betriebs aufgebaut wurden...89 Diagramm 7: Domainzuordnungen der eingehenden Verbindungen...90 Diagramm 8: Anzahl unterschiedlicher IP-Adressen einer Domain, die Verbindungen zum Honeynet aufbauten...90 Diagramm 9: Anzahl der eingegangenen Pakete mit der WindowSize (Stumbler)...91 Diagramm 10: Anzahl der registrierten Verbindungen pro Tag...93 Diagramm 11: Anzahl der auf dem Gateway registrierten Verbindungen pro Stunde zwischen dem 15. Juli und dem 12. September...94 Diagramm 12: Anzahl der unterschiedlichen IP-Adressen pro Tag...95 Diagramm 13: Anzahl der auf dem Gateway registrierten unterschiedlichen IP-Adressen pro Stunde zwischen dem 15. Juli und dem 12. September...95 viii

9 Tabellenverzeichnis Tabelle 1: Durch Viren verursachte Schäden [EW 01]...1 Tabelle 2: Klassifizierung von Honeypots...7 Tabelle 3: Zusätzliche ausgewählte Pakete bei der Installation des Gateways...33 Tabelle 4: Zusammenfassung und Bewertung der Analyse-Werkzeuge...64 Tabelle 5: Versuchter Verbindungsaufbau von Stumbler; Abbruch durch Linux-Honeypot...75 Tabelle 6: Anzahl der Anfragen und IP-Adressen auf Port 1433 und Port Tabelle 7: Login-Versuche für die MySQL-Datenbank auf dem Linux-Honeypot...83 Tabelle 8: Registrierte Verbindungen mit Quell-Port Tabelle 9: verwendete Hardware für die Auswertung...86 Tabelle 10: Stumbler IP-Adressen, von denen mindestens 6 Pakete den Linux-Honeypot erreichten...92 Tabelle 11: Vergleich der Verteilung der Anfragen auf die beiden Honeypots...93 Tabelle 12: Top-10 Rechner, die die meisten Verbindungen zum Windows -Honeypot aufbauten...96 Tabelle 13: Top-10 Rechner, die die meisten Verbindungen zum Linux-Honeypot aufbauten...97 ix

10 x

11 1 Einleitung Das Internet hält immer weiter Einzug in unser tägliches Leben. Leider steigen auch die Fälle von Computerkriminalität jährlich an [Bka 02, Bka 03], das heißt neben dem großen Nutzen des Internets ergeben sich auch immer wieder neue Gefahren. Schäden in Milliardenhöhe häufen sich in den letzten Jahren durch Viren und Würmer. Tabelle 1 zeigt eine Übersicht der durch Viren verursachten Schäden. Code Name Jahr geschätzter Schaden Explorer ,02 Mrd. US-$ Melissa ,10 Mrd. US-$ Love Bug ,75 Mrd. US-$ CodeRed ,62 Mrd. US-$ Sir Cam ,05 Mrd. US-$ Nimda ,59 Mrd. US-$ Tabelle 1: Durch Viren verursachte Schäden [EW 01] Nach Angaben des britischen Unternehmens mi2g 1 sind durch den Virus LovSan im August 2003 weltweit Schäden in Höhe von 29,7 Milliarden US-Dollar entstanden. Neben den Virenbefällen, stiegen auch die Anzahl der Vorfälle (Incidents) (Diagramm 1) sowie die Anzahl der bekannt gewordenen Schwachstellen (Diagramm 2) rapide an. Dabei ist zu beachten, dass sich jeweils der letzte Wert nur auf die ersten drei Quartale des Jahres 2003 bezieht. Incidents ( ) Anzahl Q - 3Q 2003 Diagramm 1: registrierte Vorfälle bei CERT [cert 03b] 1 1

12 Kapitel 1 Einleitung Vulnerabilities ( ) Anzahl Q - 3Q 2003 Diagramm 2: registrierte Schwachstellen bei CERT [cert 03b] Diese beiden Diagramme zeigen, dass Computersysteme in den letzten Jahren in den Programmen immer öfter Schwachstellen gefunden wurden und somit die Möglichkeiten von Angriffen deutlich gestiegen und ausgenutzt wurden. Natürlich ist es nun interessant, wie Rechner angegriffen werden und ob es einen sicheren Schutz vor Angriffen geben kann. Für die Erkennung von Angriffen können so genannte Honeynets hilfreich sein. Dies sind mehrere Rechner, bei denen bewusst auf Angriffe gewartet und gehofft wird, um z.b. daraus Folgerungen über das Angreiferverhalten ziehen zu können. 1.1 Aufgabenstellung Die Diplomarbeit gliedert sich im Wesentlichen in drei Teile: Konzeption eines Honeynet: Hier gilt es die Anforderungen an ein Honeynet umzusetzen, die Topologie festzulegen und die Ziele zu definieren. Darüber hinaus müssen Software- und Hardwareanforderungen durchdacht werden. Aufbau und Betrieb des Honeynet: Das konzipierte Honeynet wird realisiert und in Betrieb genommen. Dazu müssen die Rechner geeignet präpariert werden. Analyse des Honeynet: Nach dem Betrieb müssen die gesammelten Daten analysiert ausgewertet werden. Dazu werden geeignete Werkzeuge vorgestellt. Dabei gilt herauszufinden, welche Rückschlüsse auf den Angreifer gezogen werden können. 2

13 1.2 Aufbau der Diplomarbeit 1.2 Aufbau der Diplomarbeit Die Gliederung der Diplomarbeit orientiert sich sehr an der Aufgabenstellung: Kapitel 2 beschäftigt sich mit den Grundlagen für den Betrieb eines Honeynets. Dazu gehören die Definitionen und Einsatzszenarien von Honeypots und Honeynets. Kapitel 3 beschreibt die Konzeption des Honeynets. Neben der Topologie des Honeynet stellt dieses Kaptitel verschiedene bereits vorhandene Software-Lösungen dar, um ein Honeynet zu betreiben und abzusichern. Kapitel 4 werden die Aufbau- und Betriebsphase des Honeynet aufgezeigt. Dazu zählen die Installation und Konfiguration der einzelnen Rechner als auch das Sichern der erstellten Konfigurationen. Kapitel 5 beschäftigt sich mit der Analyse und Auswertung der gewonnenen Daten. Neben der Klassifikation der einzelnen Angriffe erfolgen eine detaillierte Beschreibung der verwendeten Werkzeuge und die daraus resultierenden Ergebnisse. Zum Abschluss dieses Kapitels werden einzelne Statistiken präsentiert. Kapitel 6 enthält die Zusammenfassung der Arbeit und schließt mit einem Ausblick auf weitere Möglichkeiten für Einsatz von Honeynets ab. Im Anhang befinden sich verschiedene Konfigurationsskripte, Perl-Skripte sowie Ergänzungen zu Internet Würmern. 1.3 Typographische Konventionen Für die vorliegende Arbeit werden folgende typographischen Konventionen verwendet: Begriffe, die ausschlaggebend für die Diplomarbeit sind, werden fett geschrieben. Befehle, Variablen und Verzeichnisse werden mit der Schriftart Courier New dargestellt. Produkte und Markennamen werden mit kursiver Schrift gekennzeichnet. Software- Produkte werden, falls keine vorgegebene Schreibweise bekannt ist, für Linux klein geschrieben, bei Software-Produkten für Windows wird der erste Buchstabe groß geschrieben. Firmen-, Marken- und Produktnamen, Warenzeichen und eingetragene Warenzeichen werden anerkannt und gehören ihren rechtmäßigen Eigentümern. Bei Abbildungen, die auf keine Quellenangabe verweisen, handelt es sich um eigene Darstellungen. 3

14 Kapitel 1 Einleitung 4

15 2 Grundlagen Im Folgenden werden zwei unterschiedliche Architekturen vorgestellt, die helfen können, potentielle Angriffe schneller zu erkennen und das Verhalten von Angreifern besser zu erforschen. 2.1 Honeypot Das Honeynet Project definiert einen Honeypot wie folgt: A honeypot is an information system resource whose value lies in unauthorized or illicit use of that resource. [Spi 03a] Somit ist ein Honeypot, nach dieser Definition des Honeynet Project, eine Ressource eines Informationssystems, deren Wert darin besteht, dass ein unberechtigter oder verbotener Zugriff auf diese Ressource erfolgt. Bei einem Honeypot handelt es sich also um irgendein IT-System, das öffentlich im Internet platziert wird um auf Angriffe zu warten. Dabei soll der Angreifer natürlich nicht merken, dass dieses System eine Falle ( Honigtopf ) ist. Sämtliche Aktivitäten (insbesondere der Netzverkehr), die auf diesem Computer stattfinden, werden mitprotokolliert und können anschließend analysiert werden. Das Honeynet Project wurde zunächst im April 1999 als Mailingliste gegründet. Die offizielle Gründung erfolgte im Juni Es handelt sich hierbei um eine Non-Profit Organization, das heißt alle Mitglieder arbeiten auf freiwilliger Basis an diesem Project mit und alle Ergebnisse werden im Internet veröffentlicht. Zu den Zielen des Honeynet Project gehört das Ausfindigmachen und Aufdecken der Werkzeuge sowie das Erforschen der Taktiken und Motive der Blackhat-Community. Bei der Blackhat-Community handelt es sich um eine Vereinigung, die aus unterschiedlichen Gründen versucht, IT-Systemen auf der Welt Schaden zuzufügen. Es stellt sich natürlich die Frage wie ein Honeypot zur Sicherheit eines Systems beitragen kann. Der Themenbereich IT-Sicherheit lässt sich grob in drei Teilbereiche unterteilen: Prävention, Erkennung und Reaktion. Honeypots helfen hierbei nur indirekt IT-Systeme sicherer zu machen. Hauptsächlich helfen Honeypots bei der Erkennung von Angriffen und somit bei dem Aufdecken und Beseitigen von Schwachstellen, da der gesamte Netzverkehr bei diesen Rechnern überwacht und aufgezeichnet wird. Ebenso ist Prävention bzw. eine Verzögerung eines Angriffes auf die Produktivsysteme eines Unternehmens eine Aufgabe für Honeypots. Dies ist zum Beispiel dann möglich, wenn zuerst der Honeypot angegriffen wird. Die Verantwortlichen des Unternehmens können dadurch Gegenmaßnahmen ergreifen. 5

16 Kapitel 2 Grundlagen Die Vorteile von einem Honeypot lassen sich wie folgt zusammenfassen: Kein Produktivsystem: Da auf dem System nicht produktiv gearbeitet wird, ist jeglicher Datenverkehr verdächtig und somit als (versuchter) Angriff zu werten. Es entstehen keine Unmengen an gesammelten Daten, die erst gefiltert werden müssen. Neue Werkzeuge und Taktiken: Durch die Aufzeichnung aller Daten können neue Taktiken (z.b. die Vorgehensweise von Angreifern oder die Art des Angriffes) untersucht werden. Dies ist als Vorteil gegenüber einem IDS, das nur bereits bekannte Angriffe erkennt. Minimale Hardware-Anforderungen: Für einen Honeypot kann durchaus ein alter Pentium-Rechner verwendet werden. Die einzige Aufgabe besteht darin, Daten aufzuzeichnen. Neben den gerade genannten Vorteilen bringen Honeypots natürlich auch Nachteile mit sich: Beschränkter Einblick: Es können lediglich Angriffe verfolgt und analysiert werden, die direkt auf das System verübt wurden. Risiko: Kein System ist 100-prozentig sicher. Es wird immer irgendwo Schwachstellen geben, z.b. in Firewalls. Durch eine feindliche Übernahme des Systems durch den Angreifer besteht die Hauptgefahr darin, dass andere Systeme von diesem Honeypot aus angegriffen werden Klassifikation von Honeypots Honeypots lassen sich nach unterschiedlichen Kriterien klassifizieren. Zum einen gibt es die Unterscheidung zwischen Production-Honeypots und Research-Honeypots. Production- Honeypots sind Honeypots die meistens in bzw. vor Unternehmens-Netzwerken installiert werden, um das Verhaltensmuster der Angreifer zu erforschen. Sie sollen mögliche Angreifer vom eigentlichen Netzwerk ablenken und somit der Prävention dienen. Leider kann es natürlich hier passieren, dass Angreifer somit erst auf das Unternehmen aufmerksam werden und eventuell ein größerer Schaden entstehen könnte. Bei den Research-Honeypots (Forschungshoneypots) besteht das Hauptziel im Sammeln von Daten um das Angreiferverhalten zu studieren. Wie oben bereits erwähnt, ist hierbei der gesamte Datenaustausch zwischen dem Internet und dem Honeypot interessant. Eine weitere Klassifizierungsmöglichkeit besteht darin, Honeypots nach dem Grad des Interaktionslevels zu charakterisieren, das heißt man unterscheidet wie viel Spielraum einem Angreifer zur Verfügung gestellt wird. Es wird unterschieden zwischen Honeypots mit niedriger und hoher Interaktionsebene. Bei Systemen mit niedriger Interaktionsebene werden angreifbare Dienste durch spezielle Software auf den Rechnern lediglich simuliert. Hierbei gibt es in der Zwischenzeit eine große Auswahl an Diensten (z.b. IIS Web-Server von Microsoft, verschiedene DNS Server), die simuliert werden können. Alle Interaktionen des Angreifers mit dem System werden 6

17 2.1 Honeypot mitprotokolliert. Der Angreifer hat keine Möglichkeit auf die Betriebssystem-Ebene des Rechners zu gelangen und diesen für seine eigenen Zwecke zu missbrauchen. Honeypots mit hoher Interaktionsebene sind im Wesentlichen reale Systeme, die nicht ganz auf dem neuesten Stand sind, das heißt es sind nicht die neuesten Updates und Servicepacks installiert. Hier kann der Angreifer durchaus den Rechner kompromittieren und sich somit vollen Zugriff auf das System verschaffen. Auch hier werden alle Aktivitäten, die der Angreifer auf dem Rechner ausführt bzw. ausführen will mitprotokolliert z.b. durch versteckte Kernelmodule unter Linux. In Tabelle 2 sind die einzelnen Merkmale der unterschiedlichen Honeypot-Ausprägungen zusammengefasst. Im Prinzip entspricht ein Honeypot einem erweiterten IDS: Durch die Überwachung des Netzverkehrs sowie der Aktivitäten auf dem Honeypot selber lassen sich z.b. neue Angriffsmuster oder Angriffsmöglichkeiten erkennen. Ein IDS erkennt nur Angriffe anhand der verwendeten Signaturen. Bei einem Honeypot ist grundsätzlich jeder Verkehr interessant, da dieses System nicht produktiv benutzt wird. Es ist dabei egal, mit welchen Daten (z.b. IPv6-Netzverkehr) Angriffe auf einen Honeypot ausgeübt werden, alle Daten werden mitprotokolliert. Honeypot mit niedriger Interaktionsebene Honeypot mit hoher Interaktionsebene Research Honeypot Production Honeypot Programm simuliert Dienste (z.b. http, ftp) Keine Interaktionsmöglichkeit mit dem Betriebssystem Angreifer bekommt keine bzw. nur gefälschte Antworten auf seine Anfragen Geringes Risiko Beispiel: BackOfficer Friendly [bof 03] Reales System Angreifer kann das System kompromittieren und kann sich vollen Zugang zum Betriebssystem verschaffen Honeypot kann als Ausgangspunkt für weitere Angriffe dienen Hohes Risiko, regelmäßige Überwachung besonders notwendig Ziel: Sammeln von Informationen z.b. über Verwundbarkeiten, Angreiferverhalten (Werkzeuge, Taktiken, Motive) Ziel: Erhöhung der Sicherheit und Unterstützung des Schutzes für ein Netz Tabelle 2: Klassifizierung von Honeypots 7

18 Kapitel 2 Grundlagen Positionierung eines Honeypots Für die Positionierung eines Honeypots gibt es verschiedene Möglichkeiten. Je nach Anforderung bzw. Aufgabe unterscheidet sich der Aufbau. Abbildung 1 zeigt verschiedene Szenarien für den Einsatz eines Honeypots (nach [Kro 03]). Abbildung 1: Unterschiedliche Einsatzszenarien eines Honeypots (vgl. [Spi 02]) Im internen Netz Als erste Möglichkeit kann ein Honeypot im internen Netz eines Unternehmens installiert werden. Dieses Szenario kann zur Erkennung von Angriffen im internen Netz (durch autorisierte Nutzer) als auch aus dem externen Netz dienen. Wartet man auf Angreifer aus dem Internet, so ist diese Positionierung die Gefährlichste: Der oder die Angreifer erhalten somit Zugriff auf das interne Netz wenn der Honeypot kompromittiert wurde; die Kompromittierung ist ein Beweis für Schwachstellen in der Firewall. Dieses Szenario erfordert eine ständige und genaue Überwachung der Vorgänge auf dem Honeypot. In einer Demilitarisierten Zone (DMZ) Rechner, die sich in der DMZ befinden bieten meistens Dienste an, die aus dem externen Netz genutzt werden können, z.b. Web-Server oder Mail-Server. Diese Rechner sind meistens durch eine Firewall vom Internet getrennt. Dabei eignet sich diese Positionierung für das Testen der in der DMZ befindlichen Dienste sowie die auf der Firewall installierten Regeln. Außerdem lassen sich Scans über den Adressbereich der DMZ feststellen. Der Honeypot sollte kein Produktivsystem sein, da sonst legitime Nutzer die Ergebnisse verfälschen können (durch Aufbau von Verbindungen aus dem Internet). Verschafft sich ein Angreifer Zugriff auf dem installierten Honeypot, so sollten die Regeln auf der Firewall und die Rechner in der DMZ überprüft werden. Der oder die Angreifer können nach einer Kompromittierung auch versuchen, Zugriff auf das interne Netz zu erlangen. 8

19 2.2 Honeynet In einem eigenen Subnetz Diese Platzierung ist hauptsächlich für einen Research Honeypot interessant. Nach einem erfolgten Angriff kann der Honeypot vom Netz getrennt und analysiert werden, ohne dass der Produktivbetrieb beeinträchtigt wird. Vor einer Firewall Der Honeypot steht aus Sicht des Betreibers im Internet und somit außerhalb seines Netzes. Mit dieser Positionierung können die Aktivitäten im Internet untersucht werden sowie das Verkehrsaufkommen außerhalb der Firewall. Es besteht nahezu keine Gefahr für das Netz des Betreibers, jedoch ist er für den installierten Honeypot verantwortlich und kann z.b. bei Angriffen, die von diesem Honeypot aus gestartet werden eventuell zur Rechenschaft gezogen werden. Es wäre auch denkbar, die gerade vorgestellten Ansätze zu kombinieren, das heißt man installiert mehrere Honeypots an verschiedenen Stellen und kann so beobachten, wo Schwachstellen in den (eigenen) Systemen vorhanden sind. 2.2 Honeynet Bei einem Honeynet handelt es sich nicht um ein fertiges Konzept oder um ein fertiges System, ein Honeynet ist eine Architektur. Im Gegensatz zu einem Honeypot besteht ein Honeynet nicht nur aus einem einzigen (angreifbaren) Rechner sondern aus einem Netz, das aufgebaut ist aus verschiedenen Systemen (Forschungshoneypots mit hoher Interaktionsebene) mit unterschiedlichen Betriebssystemen und Diensten. Das Honeynet soll nach außen wie eine Produktivumgebung wirken: Es soll dem Angreifer nicht den Eindruck vermitteln, dass es sich hier um eine Falle handelt bzw. dass seine Aktivitäten überwacht und aufgezeichnet werden Anforderungen Es gibt im Wesentlichen drei Anforderungen an Honeynets (vgl. [HP 03]): Data Control Data Capture Data Collection Die Aufgabe von Data Control ist die genaue Überwachung des ein- und ausgehenden Netzwerkverkehrs nachdem z.b. ein Honeypot kompromittiert wurde, um zu vermeiden, dass von diesem Honeypot eine Gefahr für andere Systeme im Internet ausgeht. Dabei soll der Angreifer natürlich nicht merken, dass z.b. Kontrollmechanismen zur Beschränkung des Netzverkehrs eingesetzt werden. Wichtig sind dabei folgende Anforderungen: Einsatz von mindestens zwei Instanzen von Data Control, um sich gegen Fehler zu schützen. 9

20 Kapitel 2 Grundlagen Fehler in der Data Control-Ebene sollten das System nicht in einen offenen Zustand bringen. Die Konfiguration von Data Control muss jederzeit vom Administrator verändert werden können. Angreifer sollen es so nahezu unmöglich sein, Kontrollverbindungen zu erkennen. Automatische Benachrichtigung, falls das System kompromittiert wurde. Bei Data Capture besteht die Aufgabe darin, dass sämtliche Aktivitäten, die im Honeynet auftreten mitprotokolliert werden, ohne dass auch hier der Angreifer davon etwas merken darf. Auch bei der Data Capture gibt es besondere Anforderungen: Die gesammelten Daten werden nicht lokal auf einem Honeypot gespeichert. Folgende Daten müssen gespeichert werden: Ein- und ausgehende Verbindungen, Netzverkehr und Aktivitäten auf dem System. Die Daten müssen in Echtzeit für einen Zugriff auf das System aus der Ferne zur Verfügung stehen. Die verwendeten Ressourcen zur Data Capture müssen gegen Kompromittierung geschützt werden. Die Integrität der Daten muss gewahrt werden. Wird ein Honeynet in einer verteilten Umgebung installiert, so müssen z.b. die gesammelten Daten auf sicherem Wege zu einem zentralen System übermittelt werden. Dies ist Bestandteil der Data Collection. Somit wird die Auswertung deutlich vereinfacht. Folgende Anforderungen sind dabei notwendig: Die einzelnen Honeynets müssen untereinander synchron gehalten werden. Dazu eignet sich z.b. eine Zeitsynchronisierung mit NTP (Network Time Protocol). Die gewonnenen Daten müssen auf einem sicheren Weg zu einem zentralen Rechner übermittelt werden, um damit sicherzustellen, dass die Daten während der Übertragung nicht verändert wurden Motivation Aber was will man nun mit einem Honeynet erreichen? Jeder möchte seine Ressourcen vor unbefugtem Eindringen oder Missbrauch schützen und installiert Systeme (z.b. Firewall oder Intrusion Detection Systeme (IDS)) um dies zu verhindern. Leider gibt es immer wieder Fehler, zum Teil auch Konfigurationsfehler, die Angreifern erlauben, die Schutzmechanismen zu umgehen oder diese auszuschalten [iss 03]. Mit Hilfe eines Honeynets lässt sich z.b. die Produktivumgebung eines Unternehmens in kleinerer Form nachbilden. Nun kann auf dem 10

21 2.2 Honeynet Honeynet beobachtet werden, wie Angreifer sich Zugriff zu den Systemen verschaffen und somit ist eine Analyse der Fehler möglich. Oft wird ein Honeynet mit einem Aquarium verglichen: Man kann bei einem Honeynet jederzeit beobachten, was im Inneren vor sich geht. In dieser Abstraktion stellen die Fische die einzelnen Systeme des Honeynets dar. Abbildung 2: Honeynet als Aquarium Durch die gewonnen Daten lassen sich Taktiken, Motive und neue Werkzeuge erforschen. 11

22 Kapitel 2 Grundlagen 12

23 3 Konzeption des Honeynets Der erste große Teil der Diplomarbeit beschäftigt sich mit der Konzeption des Honeynets. Dazu zählen z.b. Überlegungen der Topologie. Ebenso müssen Möglichkeiten der Überwachung für das Honeynet bestimmt und beurteilt werden. 3.1 Entwicklung von Honeynets Im Zeitraum von 1999 bis 2001 wurde zunächst vom Honeynet Project eine erste Architektur für ein Honeynet entwickelt, das so genannte Generation I Honeynet ( Gen I Honeynet ). Es handelt sich hierbei um eine möglichst einfache Implementierung eines Honeynets. Abbildung 3 zeigt den Aufbau eines typischen Gen I Honeynet. Der umrandete Bereich in der linken Hälfte des Bildes stellt das eigentliche Honeynet dar: Als Honeypots dienen ein Windows 2000 System und ein Linux-System. Der stärker gesicherte log server speichert alle Logfile-Einträge der Honeypots. Die Firewall überwacht und kontrolliert den gesamten Verkehr, der zwischen dem Internet und den Honeypots auftritt. Das Intrusion Detection System (IDS) überwacht ebenfalls den Netzwerkverkehr und erkennt Angriffe. Der Router hat die Aufgabe, den Verkehr z.b. auf gefälschte IP-Adressen oder DoS-Attacken zu überprüfen und zu filtern. Abbildung 3: Aufbau eines typischen Gen I Honeynet Seit dem Jahr 2002 wird an einer Weiterentwicklung des Gen I Honeynet gearbeitet, das so genannte Gen II Honeynet. Dabei werden die bereits gewonnenen Erkenntnisse aus dem 13

24 Kapitel 3 Konzeption des Honeynets Gen I Honeynet verwendet und verbessert. Im Folgenden bezeichnet der Begriff Honeynet immer ein Gen II Honeynet. Abbildung 4 zeigt exemplarisch den Aufbau eines Gen II Honeynet. Abbildung 4: schematischer Aufbau eines Gen II Honeynets Die Umgebung besteht aus zwei Teilnetzen: Dem Produktiv-Netz (oben im Bild) und dem Honeynet (unten im Bild). Das Trennelement zwischen den beiden Netzen ist der Honeynet Sensor (auch Honeywall oder Gateway genannt). Die Grundidee beim Gen II Honeynet ist, dass der gesamte Verkehr, der von und zu den Honeynet-Rechnern auftritt, über den Honeynet Sensor fließen muss. Somit vereint dieser Rechner die beiden Anforderungen Data Control und Data Capture (vgl. Abschnitt 2.2.1). Virtuelle Honeynets Die beiden vorgestellten Architekturen benötigen für jeden eingesetzten Honeypot sowie für das Gateway bzw. das IDS je einen eigenen physischen Rechner. Bei größeren Honeynets ist dafür eine große Anzahl an Ressourcen notwendig. Seit Anfang des Jahres 2003 gibt es auch die Möglichkeit so genannte virtuelle Honeynets zu betreiben. Dabei simuliert ein physischer Rechner (Hostsystem) mit Hilfe eines Virtualisierungsprogramms mehrere Honeypots. Das Hostsystem übernimmt dabei die Aufgabe des Gateways. Honeyd 2 ist eine aktuelle Implementierung für virtuelle Honeynets. Der Vorteil bei virtuellen Honeynets liegt darin, dass der Ressourcenbedarf zum Aufbau deutlich verringert wird. Allerdings haben virtuelle Honeynets auch Nachteile: Da das komplette Honeynet auf einem einzigen Rechner implementiert sein kann, existiert das Problem des Single Point of Failure, das heißt fällt dieser eine Rechner z.b. durch einen Hardwaredefekt aus, so ist das komplette Honeynet außer Betrieb. Außerdem besteht die 2 14

25 3.2 Design der Architektur Gefahr, dass bei einer Kompromittierung der Virtualisierungssoftware die gesammelten Daten vom Angreifer zerstört werden. Hinzu kommt, dass für den Einsatz des Host-Rechners ein leistungsstärkeres System von Nöten ist. Physische Honeynets können oft mit älteren Rechnern betrieben werden, die z.b. bereits ausgemustert sind. Natürlich wäre auch denkbar ein Honeynet zu betreiben, das eine Mischform zwischen physischen und virtuellen Honeynet darstellt. Beispielsweise könnte ein Honeynet aus zwei physischen Rechnern aufgebaut werden: Ein Rechner dient als Gateway, auf dem anderen werden die einzelnen Honeypots virtualisiert. Das Problem des Single Point of Failure wird dadurch vermieden. Es wurde entschieden, dass in dieser Diplomarbeit ein physisches Honeynet konzipiert werden soll. Dafür waren folgende Gründe entscheidend: Software-Lösungen für Virtuelle Honeynets waren erst in der Entwicklung. Eventuelle Abstürze oder Fehler in der Virtualisierungs-Software hätten sich negativ auf den Betrieb ausgewirkt. Das Honeynet soll beim Angreifer den Eindruck erwecken, dass es sich um reale Systeme handelt. Es standen genügend System-Ressourcen für ein physisches Honeynet zur Verfügung. 3.2 Design der Architektur Die Aufgabe der Diplomarbeit ist es, ein Honeynet zu konzipieren, zu betreiben und zu analysieren. Es soll also eine repräsentative Spielwiese realisiert werden. Dazu werden ein Honeypot mit einem UNIX-Betriebssystem und ein Honeypot mit einem Microsoft Windows -Betriebssystem verwendet Topologie Das zentrale Element des Honeynet ist ein Gateway-Rechner, das sich zwischen den Honeypots und dem Internet befindet. Dadurch wird eine Möglichkeit geschaffen, sämtlichen Netzverkehr, der zwischen dem Internet und den verschiedenen Honeypotrechnern auftritt zu beobachten und mitzuprotokollieren, eine wichtige Voraussetzung um das Angreifer- Verhalten zu studieren. Als Betriebssystem für den Gateway-Rechner wird das Betriebssystem Linux verwendet. Folgende Gründe sind dafür entscheidend: Kosten/Verfügbarkeit: Alle benötigten Komponenten sind Open-Source Software und somit frei verfügbar. Es fallen keine zusätzlichen Kosten für Software- Komponenten an. 15

26 Kapitel 3 Konzeption des Honeynets Dokumentation: Für die einzelnen Komponenten gibt es eine ausführliche Beschreibung (z.b. HowTo). Der Gateway (Abbildung 5) verfügt über mehrere Netzwerkkarten: Ein externes (im Folgenden als eth0 bezeichnet) und ein internes Netzwerk-Interface (im Folgenden als eth1 bezeichnet) an dem die Honeypots über einen Hub angeschlossen sind. Da ein Hub keine Trennung von Kollisionsdomänen vornimmt, können auch Angriffe von einem Honeypot zu einem anderen Honeypot erkannt und aufgezeichnet werden. Für das Gateway gibt es zwei Betriebsarten: Mit Network Address Translation (NAT): Das Gateway übernimmt die Umsetzung der IP-Adressen, die Honeypot-Rechner erhalten somit private IP-Adressen. Steht z.b. nur eine externe IP-Adresse zur Verfügung, so kann diese Betriebsart gewählt werden. Der Nachteil an dieser Konfiguration ist, dass der Gateway als Router fungiert (der Gateway hat eine eigene IP-Adresse) und damit für den Angreifer sichtbar ist (z.b. wird der Time-to-live -Wert dekrementiert). Als Bridge: Wird der Gateway als Bridge betrieben, ist er transparent für den Angreifer, das heißt, der Angreifer hat nahezu keine Möglichkeit diesen Rechner zu entdecken: Der Rechner hat in diesem Betriebsmodus keine IP-Adresse. Prinzipiell gibt es zwei Möglichkeiten für einen Angreifer eine Bridge zu erkennen: Über das Spanning Tree Protocol, das die Bridge z.b. zur Erkennung von Schleifen im Netz verwendet, kann auf das Vorhandensein einer Bridge geschlossen werden. Es besteht jedoch die Möglichkeit das Spanning Tree Protocol zu deaktivieren. Die zweite Möglichkeit besteht darin, dass der Angreifer den Netzverkehr auf MAC-Ebene (Schicht 2a) vor dem Gateway-Rechner (Internet) und auf dem Honeypot mitprotokolliert. In diesem Fall würde er z.b. bei der Überprüfung seiner IP-Adresse feststellen, dass sich die MAC-Adresse zwischen seinen beiden Protokollierungsspunkten verändert. Da der Angreifer bei diesem Szenario sich schon erfolgreich Zugriff auf den Honeypot verschafft hat, kann dieser Fall vernachlässigt werden. Da das Spanning Tree Protocol deaktiviert werden kann und beim zweiten Nachteil die Kompromittierung bereits erfolgt ist wird der Gateway-Rechner in dieser Arbeit als Bridge betrieben. Um einen Management-Zugriff auf den Gateway zu ermöglichen, wird eine zusätzliche Netzwerkkarte (eth2) mit einer IP-Adresse aus einem anderen Subnetz konfiguriert (eth0 und eth1 haben im Bridge-Modus keine IP-Adresse). Zweck des Management-Interfaces ist es, während des Betriebes das Honeynet überwachen zu können und bei Bedarf Änderungen an der Konfiguration (z.b. Konfiguration der Firewall) vorzunehmen oder den aktuellen Status des Honeynet abzufragen (Online-Analyse, siehe Kapitel 5.1.1). Der Gateway-Rechner ist somit nur noch über das Management-Interface angreifbar. Die Sicherung dieses Interfaces wird in Kapitel 3.5 beschrieben. 16

27 3.2 Design der Architektur Um dem Angreifer den Eindruck zu vermitteln, dass es sich hier um ein reales Netz handelt, werden mehrere Honeypots mit unterschiedlichen Betriebssystemen und konfigurierten Diensten installiert. Abbildung 5: Honeynet mit Gateway und zwei Honeypots Wird ein Rechner erfolgreich kompromittiert, so wird vom Angreifer oft als erstes versucht die Protokollierungsmechansimen des Betriebssystems (bei UNIX-Systemen: syslog, bei Windows Systemen eventlog) außer Kraft zu setzen und die bereits vorhandenen Daten zu löschen. Aus diesem Grund könnte zusätzlich am Hub, an dem die Honeypots angeschlossen sind, noch ein Log-Server installiert werden, der die Meldungen zusätzlich speichert. Allerdings besteht nun die Gefahr, dass auch dieser Rechner zu einem ungewollten Honeypot wird. Um dies zu verhindern wird dieser Rechner anstatt über den Hub über eine zusätzliche Netzwerkkarte (eth3) direkt am Gateway angeschlossen (Abbildung 6). 17

28 Kapitel 3 Konzeption des Honeynets Abbildung 6: Honeynet mit zusätzlichem Analyse-Server Sicherheitskonzepte (Data Control) Beim Betreiben eines Honeynets besteht die große Gefahr, dass kompromittierte Rechner benutzt werden um von diesem aus andere Rechner im Internet anzugreifen. Der Angreifer möchte damit seine eigenen Spuren verwischen. Um nun sicherzustellen, dass von den installierten Honeypots keine Gefahr für andere Rechner besteht, muss der ausgehende Netzverkehr überwacht werden. Eine geeignete Softwarelösung bietet hierbei eine vom Honeynet Project veränderte Version des frei verfügbaren Intrusion Detection System snort 3. Vom Honeynet Project wird dabei eine spezielle Version zur Verfügung gestellt: snort_inline. Diese Version ermöglicht das Zusammenspiel zwischen der Firewall (iptables) und snort. Die Funktionsweise ist in Abbildung 7 dargestellt. Alle ausgehenden IP-Pakete werden mit Hilfe des QUEUE-Targets von iptables an das Programm snort_inline vom Kernel Space in den User space weitergeleitet. snort_inline überprüft den Inhalt des Pakets mit den gespeicherten Signaturen (rules) und verwirft dieses bei einem Matching (DROP): Das IP-Paket erreicht den eigentlichen Empfänger somit nie. Ansonsten wird das Paket ins Internet (in diesem Fall über eth0) weitergeleitet. Alle verworfenen Pakete werden in einer Log-Datei gespeichert

29 3.2 Design der Architektur Abbildung 7: Arbeitsweise von snort_inline Die Signaturen müssen natürlich während des Betriebes laufend aktualisiert werden, um auch zu gewährleisten, dass auch aktuelle Angriffe, für die bereits Signaturen zur Verfügung stehen, erkannt werden. Ein Angreifer wird versuchen, sobald er sich Zugang zu einem Honeypot-System verschafft hat, Kontakt mit anderen Rechnern aufzunehmen. Um die Aktionsmöglichkeiten des Angreifers zu beschränken gibt es mehrere Möglichkeiten: Es ist kein ausgehender Verkehr vom Honeynet erlaubt. Mit dieser Restriktion wird sich der Angreifer schnell wieder zurückziehen, wenn er merkt, dass keine seiner Anfragen bzw. Angriffe beim Ziel-System ankommt. Jeder ausgehende Verkehr ist erlaubt. Dieser Ansatz ist etwas zu optimistisch und zu gefährlich, da dabei der Angreifer uneingeschränkte Möglichkeiten hat weitere Rechner anzugreifen. Es ist nicht das Ziel eines Honeynet, auch andere Rechner zu gefährden. Limitierung des ausgehenden Verkehrs. Hier wird die Anzahl der ausgehenden Verbindungen, unterschieden nach verschiedenen Protokollen, auf ein frei wählbares Limit gesetzt. Ist dieses Limit erreicht, so werden alle weiteren ausgehenden Verbindungen geblockt. Eingehende Verbindungen sind jedoch jederzeit möglich. Der Angreifer merkt nicht sofort, dass nur eine gewisse Anzahl an ausgehenden Verbindungen erlaubt ist. Am besten eignet sich natürlich die letztgenannte Möglichkeit. Dazu wird auf dem Gateway- Rechner eine Firewall (iptables) installiert. Diese setzt auf die Bridge-Funktionalität auf. Das Besondere daran ist, dass die Firewall den Verkehr auf TCP/IP-Ebene (also OSI Schichten 3 und 4) filtert, während das Gateway selber auf OSI Schicht 2 arbeitet. Für diese Kombination aus Bridge und Firewall (auch Bridge-Firewalling genannt) muss allerdings ein modifizierter Kernel verwendet werden, die Installation wird in Kapitel beschrieben. 19

30 Kapitel 3 Konzeption des Honeynets Überwachungskonzepte (Data Capture) Die Überwachung eines Honeynets gliedert sich in mehrere Ebenen. Diese unterschiedlichen Ebenen werden im Folgenden vorgestellt und erläutert Überwachung auf Netzwerkebene Da der Angreifer keinen physischen Zugang zu den Honeypots hat, müssen alle möglichen Angriffe über das Netzwerk kommen. Um diese Netzwerk-Daten aufzuzeichnen, gibt es so genannte (Netzwerk-)Sniffer. Im normalen Betriebszustand einer Netzwerkkarte nimmt diese nur Pakete entgegen, die für den Rechner bestimmt sind. Allerdings lassen sich Netzwerkkarten auch in den so genannten promiscous mode setzen. In diesem Zustand werden alle Pakete von der Netzwerkkarte mitgelesen und können zur späteren Auswertung abgespeichert werden. Typische Programme sind hierfür tcpdump [tcp 03] oder ngrep [ngr 03]. Eine weitere Überwachungsmöglichkeit auf der Netzwerkebene (auf den ISO/OSI-Schichten 3 und 4) bietet ein Intrusion Detection System (IDS). Eine genaue Untersuchung von snort als IDS für das LRZ ist in [Fun 03] beschrieben. Für den Einsatz in Research-Honeynets eignet sich das IDS snort. Anhand von Signaturen wird der Netzverkehr überprüft und bei einer Übereinstimmung ein Alarm erzeugt. Diese Alarme werden in einer Datenbank (z.b. MySQL 4 oder Microsoft SQL Server 5 ) gespeichert und können später ausgewertet werden. Wichtig ist dabei, dass die Signaturen regelmäßig erneuert werden, damit auch neue Angriffe erkannt werden. Durch den Einsatz eines IDS können (versuchte) Angriffe erkannt werden. Auf dem Gateway-Rechner wird zur Speicherung und Auswertung der snort-alarme eine MySQL-Datenbank installiert. Durch den Einsatz von tcpdump zur Protokollierung des Verkehrs lassen sich die gesammelten Daten mit dem Programm ethereal 6 und Packetzyer 7 (siehe Kapitel 5.2.4) leicht auswerten und analysieren. Damit der gesamte Verkehr lückenlos ausgewertet werden kann, werden snort und tcpdump parallel eingesetzt Überwachung auf Kommando-Ebene (Shell-Ebene) Leider reicht die alleinige Aufzeichnung des Netzwerkverkehrs für eine lückenlose Analyse nicht aus. Ein kleines Beispiel soll dies verdeutlichen: Ein Angreifer hat sich Zugang zum System verschafft und kopiert sich per FTP (File Transfer Protocol) oder SSH (Secure Shell) zusätzliche Software auf das System. Der Vorgang des Kopierens lässt sich mittels Überwachung des Netzverkehrs nachvollziehen, die eigentliche Verwendung bzw. der Nutzen oder der Zweck der Software aber nicht. Im Gegensatz zu FTP, wo zumindest der Dateiname (durch die FTP Kommandos) im Klartext übertragen wird, erfolgt bei SSH die Übertragung der Daten komplett verschlüsselt, es ist nicht möglich zu erkennen, welche Daten übertragen wurden

31 3.2 Design der Architektur Der Angreifer wird versuchen, seine Spuren so gut wie möglich zu verwischen bzw. die Beweise für sein Eindringen aus den Log-Dateien zu entfernen. Es ist daher notwendig, die Daten (ausgeführte Befehle) an einem Ort zu speichern, auf den der Angreifer keinen Zugriff hat und sich auch keinen Zugriff verschaffen kann. Um die Daten sicher aufzuzeichnen gibt es verschiedene Ansätze und Lösungen für unterschiedliche Betriebssysteme. Bei Windows -Systemen lässt sich die Eingabeaufforderung durch ein vorgeschaltetes Perl-Programm (ComLog [com 03]) so verändern, dass alle eingegebenen Befehle in eine Datei geschrieben werden. Bei UNIX-Systemen gibt es bereits mehrere Lösungen: Zum einen lässt sich der Kernel mit Hilfe eines Patches [lkp 03] verändern, so dass die read()-methode des Betriebssystems alle Kommandos in die System Log-Datei (unter SuSE Linux /var/log/messages) schreibt. Eine andere Möglichkeit besteht darin, den Befehlsinterpreter so zu verändern, dass alle eingegebenen Kommandos zusätzlich in einer Datei oder in der System Log-Datei gespeichert werden. Wie oben bereits erwähnt, muss natürlich dafür gesorgt werden, dass der Angreifer diese nicht löscht bzw. dass sie zusätzlich auf einem anderen Medium oder Rechner gespeichert werden. Eine genaue Beschreibung der Sicherung der System Log- Datei sowie die Vermeidung der Erkennung der zusätzlichen Sicherung durch den Angreifer erfolgt in Kapitel Selbst wenn der Angreifer die Protokollierung der von ihm eingegebenen Kommandos merkt, sind alle Informationen, die zum erfolgten Angriff führten, bereits gesichert. Für den Betrieb des Honeynet wird ein Kernel-Patch verwendet: Dieser Patch ist leicht zu installieren und alle Benutzer-Eingaben werden sofort in die System Log-Datei geschrieben. Vom Honeynet Project wird ein Programmpaket zur Verfügung gestellt, dass auch aus SSH- File-Transfers die übertragenen Dateien extrahieren kann: Sebek. Zum Zeitpunkt der Bearbeitung der Diplomarbeit stand Sebek nur für Linux, OpenBSD und Solaris zur Verfügung. Eine Version für Windows -Betriebssysteme ist in Planung. Das Programmpaket Sebek besteht aus drei Komponenten (Abbildung 8): Auf dem Honeypot läuft das Programm Sebek [seb 03a] als Kernel Modul. Als Grundlage für die Entwicklung diente dabei das Adore Rootkit 8. Damit der Angreifer das geladene Modul nicht entdeckt bzw. entfernen kann, wird ein zusätzliches Kernel Modul geladen, das das Sebek-Modul aus der Liste der geladenen Module entfernt. Die Aktivitäten des Angreifers werden als UDP-Pakete (aus Gründen der Einfachheit des Protokolls) versendet. Die Komponente sebeksniff [seb 03b] hört auf dem Gateway-Rechner (sebek server) auf dem konfigurierten Port und Interface und speichert die ankommenden Daten in eine Log-Datei. Mit dem Perl-Programm sbdump lassen sich die eingegebenen Befehle aus der Log- Datei extrahieren. 8 https://www.team-teso.net/releases/adore-0.39b4.tgz 21

32 Kapitel 3 Konzeption des Honeynets Abbildung 8: Funktionsweise von Sebek, sebeksniff und sbdump (vgl. [Bal 03]) Um auch die Vorgehensweisen auf dem Rechner zu überwachen, werden alle Kommandos, die der Angreifer auf dem Rechner eingegeben hat mitprotokolliert und gespeichert. Abbildung 9 zeigt das zugrunde liegende Konzept: Ruft ein Prozess die read()-methode im User Space auf, so wird ein Systemaufruf gestartet. Da in der Syscall Table der Eintrag für die read()-methode durch das Kernel-Modul verändert wurde, wird nun die read()-methode von Sebek ausgeführt. Sebek hat nun Zugriff auf die Daten des Systemaufrufs. Die Eingaben werden einerseits an den Data logger weitergereicht, andererseits zurück an die eigentliche read()-methode des Kernels geführt. Durch das Abfangen der Eingaben im Kernel Space können alle Daten gesammelt werden, bevor die Eingaben ausgeführt werden. Dies funktioniert auch mit verschlüsselten Verbindungen, weil die Eingaben dekodiert werden müssen und somit auch ein Systemaufruf stattfindet. 22

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Planung und Aufbau eines virtuellen Honeynetzwerkes Diplomarbeit Sebastian Reitenbach reitenba@fh-brandenburg.de Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Agenda traditionelle Sicherheitstechnologien

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Praktikum IT- Sicherheit

Praktikum IT- Sicherheit Praktikum IT- Sicherheit - Versuchshandbuch - Durchführung Honeypot Ein Honeypot stellt ein System dar, um Angriffe, das Verhalten von Malware und weitere Angriffsaktivitäten aufzuzeichnen zu können. Die

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Netzwerksicherheit HACKS

Netzwerksicherheit HACKS Netzwerksicherheit HACKS 2. Auflage Andrew Lockhart Deutsche Übersetzung der 1. Auflage von Andreas Bildstein Aktualisierung der 2. Auflage Kathrin Lichtenberg O'REILLT Beijing Cambridge Farnham Köln Paris

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005 Bridgefirewall eine transparente Lösung Thomas Röhl 08. April 2005 Inhalt Warum eine Bridgefirewall? Installation der Bridge IPtables der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25 Inhalt Einleitung.................................................................... XIII 1 Wer braucht eine Firewall?............................................... 1 2 Was ist eine Firewall?....................................................

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

Linux-Firewalls Ein praktischer Einstieg

Linux-Firewalls Ein praktischer Einstieg 2. Auflage Linux-Firewalls Ein praktischer Einstieg Andreas Lessing O'REILLY 0 Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo Inhalt Einleitung XIII 1 Wer braucht eine Firewall? 1 2 Was ist

Mehr

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund Schutz kleiner Netze mit einer virtuellen DMZ Tillmann Werner, CERT-Bund Agenda Das BSI - Kurzvorstellung Demilitarisierte Zonen Virtuelle Maschinen Aufbau einer virtuellen DMZ Beispielkonfiguration Das

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

IDS : HoneyNet und HoneyPot

IDS : HoneyNet und HoneyPot IDS : HoneyNet und HoneyPot Know your Enemy Hauptseminar Telematik WS 2002/2003 - Motivation In warfare, information is power. The better you understand your enemy, the more able you are to defeat him.

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Systemvoraussetzungen und Installation

Systemvoraussetzungen und Installation Systemvoraussetzungen und Installation Inhaltsverzeichnis Inhaltsverzeichnis... 2 1. Einleitung... 2 2. Einzelarbeitsplatzinstallation... 3 3. Referenz: Client/Server-Installation... 5 3.1. Variante A:

Mehr

Wo kann GFI EventsManager im Netzwerk installiert werden?

Wo kann GFI EventsManager im Netzwerk installiert werden? Installation Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet ihres Standorts auf allen Computern im Netzwerk installiert werden, die die Systemvoraussetzungen

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

Servervirtualisierung mit Xen Möglichkeiten der Netzwerkkonfiguration

Servervirtualisierung mit Xen Möglichkeiten der Netzwerkkonfiguration Servervirtualisierung mit Xen Möglichkeiten der Netzwerkkonfiguration Studiengang Informatik Anwendung-Rechnernetze Übersicht Virtualisierungstechniken Virtualisierungsmodelle in Xen Netzwerkkonzepte und

Mehr

1KONFIGURATION VON ACCESS LISTEN UND FILTERN

1KONFIGURATION VON ACCESS LISTEN UND FILTERN 1KONFIGURATION VON ACCESS LISTEN UND FILTERN Copyright 23. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Intrusion Detection & Response

Intrusion Detection & Response Intrusion Detection & Response Seminararbeit im SS 2002 (4. Semester Bachelor) von Uwe Hoffmeister 900 1840 Christian Klie 900 1882 Tobias Schmidt 900 1883 Seite 1 von 132 Version vom 17.04.2002 1. Verzeichnisse

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Firewall Implementierung unter Mac OS X

Firewall Implementierung unter Mac OS X Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

User Mode Linux. Sven Wölfel 15. April 2005

User Mode Linux. Sven Wölfel 15. April 2005 User Mode Linux Sven Wölfel 15. April 2005 Inhalt Was ist UML? Wofür kann man UML benutzen? Funktionsweise von UML Installation von UML Netzwerk unter UML einrichten Quellen 2 Was ist UML? I User Mode

Mehr

ESET NOD32 Antivirus. für Kerio. Installation

ESET NOD32 Antivirus. für Kerio. Installation ESET NOD32 Antivirus für Kerio Installation Inhalt 1. Einführung...3 2. Unterstützte Versionen...3 ESET NOD32 Antivirus für Kerio Copyright 2010 ESET, spol. s r. o. ESET NOD32 Antivirus wurde von ESET,

Mehr

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan 2005-04-28

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan 2005-04-28 Begrüßung Inhalt Zeitplan Willmann 2005-04-28 Begrüßung Begrüßung Inhalt Zeitplan Wer sind wir? Studenten der TU Braunschweig, Diplom Informatik Wissenschaftliche Hilfskräfte im Rechenzentrum der TU Wer

Mehr

Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004.

Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004. Sniffer Proseminar: Electronic Commerce und Digitale Unterschriften Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004 Gliederung Was sind Sniffer? Einführung Ethernet Grundlagen

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

IPTables und Tripwire

IPTables und Tripwire 1/14 und und 8. Juni 2005 2/14 und Anwendungen und ihre FTP (Port 21) 21 FTP- Datenpaket 51 FTP (Port 51) SSH (Port 22) 22 SSH- Datenpaket 35 SSH (Port 35) HTTP (Port 80) 80 HTTP- Datenpaket 99 HTTP (Port

Mehr

KOGIS Checkservice Benutzerhandbuch

KOGIS Checkservice Benutzerhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 KOGIS Checkservice Benutzerhandbuch Zusammenfassung Diese Dokumentation beschreibt die Bedienung des KOGIS Checkservice. 4.2.2015

Mehr

Musterlösung für Schulen in Baden-Württemberg. Windows 2003. Netzwerkanalyse mit Wireshark. Stand: 10.02.2011 / 1. Fassung

Musterlösung für Schulen in Baden-Württemberg. Windows 2003. Netzwerkanalyse mit Wireshark. Stand: 10.02.2011 / 1. Fassung Musterlösung für Schulen in Baden-Württemberg Windows 2003 Netzwerkanalyse mit Wireshark Stand: 10.02.2011 / 1. Fassung Impressum Herausgeber Zentrale Planungsgruppe Netze (ZPN) am Kultusministerium Baden-Württemberg

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

MVB3. Einrichten eines Servers für MVB3 ab Version 3.5. Admin-Dokumentation. Inhalt V3.05.001

MVB3. Einrichten eines Servers für MVB3 ab Version 3.5. Admin-Dokumentation. Inhalt V3.05.001 V3.05.001 MVB3 Admin-Dokumentation Einrichten eines Servers für MVB3 ab Version 3.5 Inhalt Organisatorische Voraussetzungen... 1 Technische Voraussetzungen... 1 Konfiguration des Servers... 1 1. Komponenten

Mehr

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder FROSCON, 23.8.2009 Dr. Michael Schwartzkopff HA Firewall mit fwbuilder, Seite 1 Eine einfache Firewall Eine einfache Firewall mit Linux

Mehr

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung VERSION 8.0 FEBRUAR 2013 Logics Software GmbH Schwanthalerstr. 9 80336 München Tel.: +49 (89) 55 24 04-0 Fax +49 (89) 55

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Dieser Checkup überprüft, ob im Netzwerk in Bezug auf eine bestimmte IP-Adresse Störungen durch externen Netzverkehr stattfinden. 1. Netzverkehr

Mehr

ECO AK Sicherheit. Maßnahmen gegen Schadprogramme (Botnetz-Abwehr) Abuse-Management bei NetCologne Identifizieren und Stoppen von Zombies

ECO AK Sicherheit. Maßnahmen gegen Schadprogramme (Botnetz-Abwehr) Abuse-Management bei NetCologne Identifizieren und Stoppen von Zombies ECO AK Sicherheit Maßnahmen gegen Schadprogramme (Botnetz-Abwehr) Abuse-Management bei NetCologne Identifizieren und Stoppen von Zombies Dietmar Braun Gunther Nitzsche 04.02.2009 Agenda Anomalien und Botnetz-Entwicklung

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

Der optimale Schutz für dynamische Unternehmens-Netzwerke

Der optimale Schutz für dynamische Unternehmens-Netzwerke Der optimale Schutz für dynamische Unternehmens-Netzwerke Kaspersky Open Space Security steht für den zuverlässigen Schutz von Firmen- Netzwerken, die immer mehr zu offenen Systemen mit ständig wechselnden

Mehr

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr.

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr. Gesamtübersicht Server Intranet Wir empfehlen, aus Stabilitäts und Sicherheitsgründen die LAN Anwendungen auf zwei Server aufzuteilen: internetorientierte Anwendungen LAN orientierte Anwendungen. Seite

Mehr

Inhaltsverzeichnis. Teil I Einführung in die Intrusion Detection 21. Vorwort 15. Einleitung 17

Inhaltsverzeichnis. Teil I Einführung in die Intrusion Detection 21. Vorwort 15. Einleitung 17 Inhaltsverzeichnis Vorwort 15 Einleitung 17 Teil I Einführung in die Intrusion Detection 21 Kapitel 1 Was ist eine Intrusion, was ist Intrusion Detection? 23 1.1 Was ist eine Intrusion? 24 1.2 Was macht

Mehr

zur WinIBW Version 2.3

zur WinIBW Version 2.3 zur WinIBW Version 2.3 Stand: 14. Dezember 2001 18. Januar 2002 BW Installation (lokal) Technische Voraussetzungen Softwarebeschaffung Installation Start Pica-Schriften Probleme Technische Voraussetzungen

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

Generating Fingerprints of Network Servers and their Use in Honeypots. Thomas Apel

Generating Fingerprints of Network Servers and their Use in Honeypots. Thomas Apel Generating Fingerprints of Network Servers and their Use in Honeypots Thomas Apel Der Überblick Fingerprinting von Netzwerkdiensten Banner Verfügbare Optionen Reaktionen auf falsche Syntax Verwendung für

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

Secure Linux Praxis. ein How-To Vortrag am 11.05.2006. Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe

Secure Linux Praxis. ein How-To Vortrag am 11.05.2006. Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe Secure Linux Praxis ein How-To Vortrag am 11.05.2006 Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe Workshop Agenda "IT-Sicherheit" - Grundlagen - Gefährdungen Linux Absicherung

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

Collax Monitoring mit Nagios

Collax Monitoring mit Nagios Collax Monitoring mit Nagios Howto Dieses Howto beschreibt die Konfiguration der Aktiven Überwachung auf einem Collax Server. Intern verwendet das System dafür Nagios. Primär wird Nagios zur Selbstüberwachung

Mehr

Firewall-Versuch mit dem CCNA Standard Lab Bundle

Firewall-Versuch mit dem CCNA Standard Lab Bundle -Versuch mit dem CCNA Standard Lab Bundle Cisco Networking Academy Day in Naumburg 10. und 11. Juni 2005 Prof. Dr. Richard Sethmann Hochschule Bremen Fachbereich Elektrotechnik und Informatik 1 Inhalt

Mehr

OpenSource Firewall Lösungen

OpenSource Firewall Lösungen Ein Vergleich OpenSource Training Webereistr. 1 48565 Steinfurt DFN-CERT Workshop 2006 OpenSource Training UNIX/Linux Systemadministration seit 1989 Freiberuflicher Dozent und Berater seit 1998 Autor mehrere

Mehr

Collax E-Mail Archive Howto

Collax E-Mail Archive Howto Collax E-Mail Archive Howto Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als E-Mail Archive eingerichtet werden kann, um Mitarbeitern Zugriff auf das eigene E-Mail Archiv

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 Fernzugriff mit der ETS Achatz 3 84508 Burgkirchen Tel.: 08677 / 91 636 0 Fax:

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Linux Intrusion Detection System (LIDS, www.lids.org)

Linux Intrusion Detection System (LIDS, www.lids.org) Linux Intrusion Detection System (LIDS, www.lids.org) oder: wie mache ich mein System sicher... und mir das Leben schwer :-) Michael Würtz TU Darmstadt, HRZ 10/2003 Inhalt 1. Intrusion Detection in Kurzform

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Documentation. OTRS Appliance Installationshandbuch. Build Date:

Documentation. OTRS Appliance Installationshandbuch. Build Date: Documentation OTRS Appliance Installationshandbuch Build Date: 10.12.2014 OTRS Appliance Installationshandbuch Copyright 2001-2014 OTRS AG Dieses Werk ist geistiges Eigentum der OTRS AG. Es darf als Ganzes

Mehr

sedex-client Varianten für den Betrieb in einer hoch verfügbaren

sedex-client Varianten für den Betrieb in einer hoch verfügbaren Département fédéral de l'intérieur DFI Office fédéral de la statistique OFS Division Registres Team sedex 29.07.2014, version 1.0 sedex-client Varianten für den Betrieb in einer hoch verfügbaren Umgebung

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION

KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION Bitte verwenden Sie diese Unterlagen, um vorab sicherzustellen, dass alle Voraussetzungen zur Installation des KYOfleetmanager DCA

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Distributed Systems Security. Überblick. Überblick. Firewalls

Distributed Systems Security. Überblick. Überblick. Firewalls Distributed Systems Security Firewalls Prof. Dr. Stefan Fischer Institut für Telematik, Universität zu Lübeck https://www.itm.uni-luebeck.de/people/fischer Überblick Firewalls Zweck Komponenten Konfigurationen

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Demilitarisierte Zonen und Firewalls

Demilitarisierte Zonen und Firewalls Demilitarisierte Zonen und Firewalls Kars Ohrenberg IT Gliederung IP-Adressen, Netze, Ports, etc. IT-Sicherheit Warum Packetfilter/Firewalls? Packtfilter/Firewalls im DESY Netzwerk Konzept einer Demilitarisierten

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr